XZ Utilsは、LZMAとxzを含んでいるフリーなコマンドライン可逆圧縮ソフトウェアのセットです。
XZ Utilsには、xzファイルを作成・展開するxzコマンドと、プログラムからxzファイルを扱うためのliblz
目次
刚读完了这两篇关于 xz-utils 包的供应链攻击说明,攻击者潜伏了三年,很精彩,只差一点点就可以往众多 Linux 发行版的 sshd 注入后门,可用于绕过密钥验证,后果不堪设想。概括:1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号,之后积极参与 xz 项目的维护,并逐渐获取信任,获得了直接…
— Yachen Liu (@Blankwonder) Mar 30, 2024
これさらに巧妙なのが、GitHub のコードにはバックドアを混入させるコード自体は仕込まれておらず公式サイトの tarball にしか入ってなかった上に、肝心のバックドアは liblzma が圧縮ライブラリなのを悪用してテストファイルとして Git に忍び込ませてた二段構えになってること
— Torishima / INTP (@izutorishima) Mar 30, 2024
xz-utils、素性明らかでないとメンテナに入れるなって話になるよなあ
— keyray (@Keyray7) Mar 30, 2024
xz-utils のやつすごいな
— 高校100年生 (@MitI_7) Mar 30, 2024
スポンサーリンク
スポンサーリンク
xz-utils セーフ
— degoichi (@HG_006) Mar 30, 2024
xz-utils の件, 3 号機鯖が対象だった...急いで対応しよう.......
— たっけん@あすた (@Astrisk_) Mar 30, 2024
xz-utils にバックドアを仕込んだ JiaT75 氏による libarchive へのプルリクが再度精査された結果、これ意図的に脆弱性増そうとしてない?ということになり大激論いやーこれ怖いな、サプライチェーン攻撃の危険性https://t.co/fX0PtRLscm
— Torishima / INTP (@izutorishima) Mar 30, 2024
xz-utils の件、PostgreSQL のメンテナがたった0.5秒だけSSHが遅くなることに気づいて調査してたら気づいたというのが凄いし、Debian sid をバックドアの適用対象外にしてたら判明しなかったというのも惜しさがある
— Torishima / INTP (@izutorishima) Mar 30, 2024
xz-utils のバックドア信じられないほど巧妙で重大インシデントやな…中国政府のスーパーハッカーだったりする?そして GitHub が xz リポジトリを閉鎖したのも酷すぎるhttps://t.co/Gn2av1Azf3
— Torishima / INTP (@izutorishima) Mar 30, 2024
xz-utils のバックドア、あんな攻撃する人がいるんだってのもびっくりだけれど、あれだけ巧妙な手口に気づく人がいるのもビビる...
— Shinya Kato (@0x19f) Mar 30, 2024
xz-utils の上流バージョンにバックドア仕掛けられてたやつ、発見は偶然だったと。すり抜けなくて良かったな…https://t.co/eizKaZeUY3 pic.twitter.com/mT1SgaFgJU
— シャポコ🌵 (@shapoco) Mar 30, 2024
LZMAにバックドアが仕掛けられていた件、UbuntuはNobleでも5.4.0なので該当せず、Debianだと2/26以降にTrixie/Sidを使ってた人は引っかかってる可能性あるので apt-cache policy xz-utils とかで5.6.1+really5.4.5-1になってることを確認すれば良いかな?https://t.co/mvTxd49GWA pic.twitter.com/2kyiOo9OD0
— 情報弱者であると同時に、情感弱者 (@joukan_jakusha) Mar 30, 2024
スポンサーリンク
スポンサーリンク
xz-utils 5.6.0 5.6.1のコードにバックドア https://t.co/YCkZ2C48ZT
— すし@データサルベージDM相談可 (@sushi514) Mar 30, 2024
xz-utils 5.6.0 5.6.1のコードにバックドアしこまれてるということで、GentooやArchなどローリングリリースな人はチェックしてダウングレードなどしたほうがよい。sshdにmaliciousなhookしこまれたりなどするみたいhttps://t.co/dKuuHHlnSM
— イーロン・マスクツイッターやめろ (@naota344) Mar 29, 2024
xz-utils / liblzmaにバックドアが仕込まれていたらしい(CVE-2024-3094)対象は今年2月~3月にリリースされた5.6.0 / 5.6.1ローリングリリースを採用していたり、不安定版のディストリビューションを使っている人は要確認https://t.co/vNtJIuwca8
— NV(*´ω`*) (@nvsofts) Mar 29, 2024
スポンサーリンク
スポンサーリンク
CONTINUE Vol.85:serial experiments lain 25周年記念特集号
CONTINUE Vol.85は、serial experiments lain...
CONTINUE Vol.85:serial experiments lain 25周年記念特集号
CONTINUE Vol.85は、serial experiments lain...
せきねもん給付金の注意喚起!お金配り当選者/仮想通貨投資の評…
気になる情報まとめ | 145601
この記事に問題があると考えた場合、こちらから作者様にご連絡をお願いします。
